思科紧急修复FMC平台两个高危漏洞
发布时间 2026-03-051. 思科紧急修复FMC平台两个高危漏洞
3月4日,思科公司近日修复了其安全防火墙管理中心(FMC)中两个最高级别(CVSS评分均为10.0)的严重漏洞,这两个漏洞若被利用可能导致攻击者完全控制设备。第一个漏洞编号为CVE-2026-20079,属于身份验证绕过漏洞。该漏洞源于FMC启动时创建的系统进程存在缺陷,攻击者可通过发送精心构造的HTTP请求,绕过Web界面的身份验证机制,直接执行脚本文件并获取底层操作系统的root权限。第二个漏洞编号为CVE-2026-20131,为远程代码执行漏洞,同时影响FMC及思科安全云控制(SCC)防火墙管理功能。该漏洞由不安全的Java反序列化操作引发,未经身份验证的远程攻击者可向Web管理界面发送恶意序列化Java对象,触发反序列化过程并以root权限执行任意代码。思科产品安全事件响应团队(PSIRT)表示,目前尚未发现这两个漏洞被公开披露或实际利用的迹象。但鉴于漏洞的高危性质,思科强调必须通过官方补丁进行修复,当前无任何临时解决方案或变通方法。
https://securityaffairs.com/188921/security/cisco-fixes-maximum-severity-secure-fmc-bugs-threatening-firewall-security.html
2. FreeScout服务台平台现零点击高危RCE漏洞
3月4日,FreeScout开源帮助台平台近日被曝存在最高级别远程代码执行漏洞(CVE-2026-28289),攻击者无需用户交互或身份验证即可通过发送恶意电子邮件附件实现零点击攻击,直接控制服务器。该漏洞绕过了此前CVE-2026-27636漏洞的修复机制,原修复通过限制文件扩展名阻止危险上传,但研究人员发现,在文件名前添加零宽度空格字符可绕过验证。该字符被视为不可见内容,后续处理会删除该字符,使文件保存为点文件,从而触发原漏洞利用。FreeScout作为Zendesk/Help Scout的自托管替代方案,是广泛使用的开源平台,GitHub仓库拥有4100星标、620+分支,Shodan扫描显示超1100个公开暴露实例。漏洞影响所有1.8.206及更早版本,可通过发送至FreeScout配置邮箱的恶意附件触发,攻击者通过Web界面访问有效载荷即可执行命令,构成零点击漏洞。FreeScout团队建议立即升级至1.8.207版本,同时OX Research补充建议禁用Apache配置中的“AllowOverrideAll”以增强防护。
https://www.bleepingcomputer.com/news/security/mail2shell-zero-click-attack-lets-hackers-hijack-freescout-mail-servers/
3. 密码管理软件提供商LastPass遭网络钓鱼攻击
3月4日,密码管理软件提供商LastPass近日发出安全警告,指出其用户正遭受新一轮高仿真网络钓鱼攻击。攻击者通过伪造"LastPass支持"显示名称的电子邮件,模仿官方与客户支持团队的内部对话场景,诱导用户点击"报告可疑活动""撤销设备"等伪装链接。这些邮件主题精心设计,包含"更改账户主要邮箱请求"等看似官方的转发对话内容,制造紧急氛围促使用户快速响应。点击链接后,用户会被重定向至"verify-lastpass[.]com"等域名下的虚假登录页面。该页面与官方界面高度相似,专门用于窃取用户凭据。攻击者还通过多个发件人地址和主题行变体增强可信度,多数发件地址来自被入侵网站或废弃域名,仅通过显示名称伪装成官方。LastPass在威胁情报报告中强调,其基础设施未受任何损害,系统安全未受影响。公司明确提醒用户:官方客服绝不会索要主密码,用户应严格保密主密码。针对此次攻击,LastPass正联合第三方合作伙伴紧急关闭钓鱼网站,并呼吁用户将可疑通信举报至"mailto:abuse@lastpass.com"。
https://www.bleepingcomputer.com/news/security/fake-lastpass-support-email-threads-try-to-steal-vault-passwords/
4. HungerRush遭勒索攻击,客户数据面临威胁
3月4日,餐饮技术提供商HungerRush近日遭遇勒索攻击,威胁行为者通过伪造官方邮箱向餐厅顾客发送多封勒索邮件,声称若不回应将泄露数百万客户数据。这些邮件通过Twilio SendGrid平台发送,该服务此前用于发送HungerRush餐厅收据,且通过了SPF、DKIM和DMARC身份验证,增强了邮件可信度。攻击者使用mailto:support@hungerrush.com和mailto:2019@hungerrush.com等地址,警告HungerRush停止忽视勒索要求,否则将危及客户数据。HungerRush服务于超过16,000家餐厅,包括Sbarro、Jet's Pizza等知名品牌,其POS、在线订购及支付处理系统被广泛使用。攻击者宣称可访问客户姓名、邮箱、密码、地址、电话、出生日期及信用卡信息,但HungerRush回应称,此次事件仅涉及电子邮件营销服务账户被入侵,未泄露敏感信息如密码、支付卡数据,且其系统不存储信用卡信息。公司强调,泄露的客户联系信息被用于发送未经授权邮件,但无证据显示其他系统遭入侵。
https://www.bleepingcomputer.com/news/security/hacker-mass-mails-hungerrush-extortion-emails-to-restaurant-patrons/
5. 国际联合行动查封LeakBase网络犯罪论坛
3月4日,美国联邦调查局(FBI)联合欧洲刑警组织等14国执法机构,于3月3日至4日开展"泄密行动",成功查封网络犯罪论坛LeakBase。该论坛作为黑客工具交易、被盗数据买卖的核心平台,自2021年由ARES威胁组织支持运营以来,用户规模已超14.2万,提供数据库访问、漏洞利用交易、担保支付系统及黑客技术讨论区,涵盖社会工程学、密码学等专题。行动期间,执法人员在美国、澳大利亚、比利时等8国执行搜查令、实施逮捕并开展"敲门谈话",全球共发起约100次执法行动,处罚37名最活跃用户。LeakBase的两个域名现已被FBI接管,域名服务器切换为ns1.fbi.seized.gov和ns2.fbi.seized.gov,页面显示查封通知,强调论坛所有内容包括用户账户、帖子、信用卡信息、私信及IP日志已被安全保存,将用于后续取证调查。任何试图访问或干扰网站的行为可能构成新罪。
https://www.bleepingcomputer.com/news/security/fbi-seizes-leakbase-cybercrime-forum-data-of-142-000-members/
6. 纽约麦迪逊广场花园遭Cl0p勒索攻击
3月3日,纽约地标麦迪逊广场花园(MSG)近日确认遭遇重大数据泄露事件,涉及2025年针对甲骨文电子商务套件(EBS)的大规模网络犯罪活动。作为全球著名多功能室内场馆,MSG位于纽约市,是NBA尼克斯队和NHL游骑兵队主场,承办体育赛事、演唱会及娱乐活动,此次事件使其成为利用甲骨文EBS漏洞实施黑客攻击的众多受害组织之一。2025年11月,Cl0p勒索软件组织利用甲骨文EBS中的零日漏洞CVE-2025-61882入侵包括MSG在内的100多家机构。该漏洞允许未经身份验证的远程攻击者控制甲骨文并发处理组件,进而窃取数据。MSG拒绝支付赎金后,Cl0p泄露超210GB公司存档文件。据MSG向缅因州总检察长办公室提交的通知,甲骨文EBS由供应商托管管理,用于部分人力和财务运营。供应商调查确定,未经授权者于2025年8月获取部分应用数据,涉及招聘或付款相关的业务记录文件,其中包含姓名和社会保障号的文件受影响。甲骨文已于2025年10月发布紧急补丁修复该漏洞,但此前已有大量数据泄露。
https://securityaffairs.com/188814/cyber-crime/oracle-ebs-2025-campaign-impacts-madison-square-garden-sensitive-data-leaked.html
京公网安备11010802024551号